- •Кафедра судовой автоматики и измерений
- •Часть 1
- •Санкт-Петербург
- •Введение
- •1 Угрозы, атаки и уязвимости
- •1.1 Угрозы и атаки
- •1.2 Уязвимости
- •2 Каналы утечки информации
- •3 Политика безопасности
- •3.1 Основные понятия политики безопасности
- •3.2 Структура политики безопасности организации
- •3.2.1 Базовая политика безопасности
- •3.2.2 Специализированные политики безопасности
- •3.2.3 Процедуры безопасности
- •3.3 Разработка политики безопасности организации
- •3.3.1 Основные этапы обеспечения безопасности
- •3.3.2 Компоненты архитектуры безопасности
- •3.3.3 Роли и ответственности в безопасности сети
- •3.3.4 Аудит и оповещение
- •4. Компьютерные сети
- •4.1 Модели osi
- •4.2 Сетевые протоколы
- •4.2.1 Протокольный стек tcp/ip
- •4.2.2 Адресация в ip
- •4.3 Проводные сети
- •4.3.1 Базовые топологии
- •4.3.1.1 Топология «шина»
- •4.3.1.2 Топология «звезда»
- •4.3.1.3 Топология «кольцо»
- •4.3.1.4 Комбинированные топологии
- •4.4 Кабельная подсистема
- •4.4.1 Коаксиальный кабель
- •4.4.2 Витая пара
- •4.4.3 Оптоволоконный кабель
- •4.4.4 Защита информации в кабельных сетях
- •4.4.4.1 Механическая защита кабельной сети
- •4.4.4.2 Экранирование кабельных каналов
- •4.5 Беспроводные сети
- •4.5.1 Стандарты беспроводных сетей
- •4.5.2 Сравнение стандартов беспроводной передачи данных
- •4.5.3 Архитектура беспроводных сетей
- •4.5.4 Технологии беспроводных сетей
- •4.5.5 Защита информации в беспроводных сетях
- •5 Отказоустойчивые системы хранения данных: raid - массивы
- •6 Антивирусная защита информации
- •6.1 Классификация компьютерных вирусов
- •6.2 Жизненный цикл вирусов
- •6.3 Основные каналы распространения вирусов и других вредоносных программ
- •6.4 Методы построения антивирусной защиты
- •7 Роль стандартов информационной безопасности
- •7.1 Международные стандарты информационной безопасности
- •7.1.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
- •7.1.2 Германский стандарт bsi
- •7.1.3 Международный стандарт iso 15408 «Общие критерии безопасности информационных технологий»
- •7.1.4 Стандарты информационной безопасности в Интернете
- •7.2 Отечественные стандарты безопасности информационных технологий
- •Список использованных источников
4.5.2 Сравнение стандартов беспроводной передачи данных
В окончательной редакции широко распространенный стандарт 802.11b был принят в 1999 г. и благодаря ориентации на свободный от лицензирования диапазон 2,4 ГГц завоевал наибольшую популярность у производителей оборудования. Пропускная способность (теоретическая 11 Мбит/с, реальная — от 1 до 6 Мбит/с) отвечает требованиям большинства приложений. Поскольку оборудование 802.11b, работающее на максимальной скорости 11 Мбит/с, имеет меньший радиус действия, чем на более низких скоростях, то стандартом 802.11b предусмотрено автоматическое понижение скорости при ухудшении качества сигнала. К началу 2004 года в эксплуатации находилось около 15 млн. радиоустройств 802.11b.
В конце 2001-го появился - стандарт беспроводных локальных сетей 802.11a, функционирующих в частотном диапазоне 5 ГГц (диапазон ISM). Беспроводные ЛВС стандарта IEEE 802.11a обеспечивают скорость передачи данных до 54 Мбит/с, т. е. примерно в пять раз быстрее сетей 802.11b, и позволяют передавать большие объемы данных, чем сети IEEE 802.11b. К недостаткам 802.11а относятся большая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (оборудование для 2,4 ГГц может работать на расстоянии до 300 м, а для 5 ГГц — около 100 м). Кроме того, устройства для 802.11а дороже, но со временем ценовой разрыв между продуктами 802.11b и 802.11a будет уменьшаться.
802.11g является новым стандартом, регламентирующим метод построения WLAN, функционирующих в нелицензируемом частотном диапазоне 2,4 ГГц. Максимальная скорость передачи данных в беспроводных сетях IEEE 802.11g составляет 54 Мбит/с (802.11superg – 108 Мбит/с). Стандарт 802.11g представляет собой развитие 802.11b и обратно совместим с 802.11b. Соответственно ноутбук с картой 802.11g сможет подключаться и к уже действующим точкам доступа 802.11b, и ко вновь создаваемым 802.11g. Теоретически 802.11g обладает достоинствами двух своих предшественников. В числе преимуществ 802.11g надо отметить низкую потребляемую мощность, большую дальность действия и высокую проникающую способность сигнала. Можно надеяться и на разумную стоимость оборудования, поскольку низкочастотные устройства проще в изготовлении.
Стандарт IEEE 802.11 работает на двух нижних уровнях модели ISO/OSI: физическом и канальном. Другими словами, использовать оборудование Wi-Fi так же просто, как и Ethernet: протокол TCP/IP накладывается поверх протокола, описывающего передачу информации по каналу связи. Расширение IEEE 802.11b не затрагивает канальный уровень и вносит изменения в IEEE 802.11 только на физическом уровне.
В беспроводной локальной сети есть два типа оборудования: клиент (обычно это компьютер, укомплектованный беспроводной сетевой картой, но может быть и иное устройство) и точка доступа, которая выполняет роль моста между беспроводной и проводной сетями. Точка доступа содержит приемопередатчик, интерфейс проводной сети, а также встроенный микрокомпьютер и программное обеспечение для обработки данных.
4.5.3 Архитектура беспроводных сетей
В стандарте 802.11 предусмотрено два основных типа архитектуры сетей: Ad-hoc и Infrastructure Mode. Простейшим из них является вариант Ad-hoc, который называют также IBSS (Independent Basic Service Set) или режим Peer-to-Peer ("точка-точка"). В этом режиме связь устанавливается непосредственно между рабочими станциями пользователей по принципу "каждый с каждым" и создание какой-либо общей сетевой инфраструктуры не требуется.
Но значительно большими возможностями обладают сети, работающие в режиме Infrastructure Mode, основу которых составляет сотовая архитектура, подобная той, что используется в мобильной связи. При этом такие сети могут состоять как из одной, так и из множества ячеек. Каждая отдельная сота беспроводной сети управляется своей базовой станцией, называемой точкой доступа (Access Point), которая взаимодействует с находящимися в пределах ее радиуса действия пользовательскими устройствами. В этом режиме устройства пользователей напрямую друг с другом не связываются, а действуют через точку доступа. Сами же точки доступа соединяются между собой либо с помощью кабельной сети, либо по специальным радиоканалам и могут иметь связь с другими сетями или выход в Интернет.
Теоретически, к каждой точке доступа может быть подключено до 255 пользователей (это количество продиктовано ограничениями IP-протокола), однако на практике данное число оказывается существенно меньше и реально составляет 20-50 пользователей.
У беспроводных сетей, предназначенных для крупных корпоративных сред, имеется весьма заметный недостаток – эффект «бутылочного горлышка», проявляющийся при использовании большого количества точек доступа и большого числа клиентов, подключенных к одной точке. Он выражается в виде резкого снижения пропускной способности сети, даже при условии достаточно широкого внешнего канала. Дело в том, что точки доступа стандартов 802.11 предоставляют разделяемую среду, в которой в данный момент времени лишь одна из них может вести передачу данных. Снижение скорости обмена информацией критично для любого пользователя, а уж тем более для корпоративного.
В традиционной беспроводной сети стандарта 802.11 несколько клиентов подключается по прямому соединению с точкой доступа. Такие сети называются одноузловыми. В многоузловой сети любое устройство с возможностями беспроводной связи способно выступать как в роли маршрутизатора, так и точки доступа. Если ближайшая точка доступа перегружена, данные перенаправляются к ближайшему незагруженному узлу. Блок данных продолжает перемещаться от одного узла к другому, пока не достигнет места назначения. Примером многоузловой сети (только в кабельном исполнении) может служить Интернет. Как и в случае с беспроводными mesh-сетями, сообщение электронной почты не пересылается получателю напрямую. Вместо этого оно передается от одного сервера к другому по наиболее эффективному маршруту, в зависимости от загруженности сетей.
Стоит заметить, что идея беспроводных ячеистых сетей не нова, и уже успела получить распространение в индустриальных распределенных системах сбора и обработки данных. Здесь в качестве узлов сети используются датчики со встроенной логикой, или преобразователи, которые не только собирают данные, но и выполняют их предварительную обработку. Это позволяет передавать лишь полезную информацию и существенно снизить трафик в сети. Т.е. стандартная беспроводная сеть 802.11 в дополнение к системе базовых точек доступа способна «достраивать» себя за счет подключенных в нее клиентских устройств – персональных компьютеров, планшетов, смартфонов. Таким образом, все клиенты в ее рамках становятся узлами сети и могут принимать участие в передаче данных, что, естественно, сделало всю структуру более гибкой и производительной за счет появления дополнительных путей прохождения информации.
С технической точки зрения сетевой процессор, логика и беспроводной интерфейс сосредоточены внутри каждого узла-участника сети, поэтому необходимость в централизованной коммутации исчезает. Иными словами, топология ячеистых сетей предусматривает либо прямую связь между образующими их узлами, либо транзитную передачу данных между источником и получателем. Следовательно, перед тем как начать обмен данными, каждый узел должен "решить", будет ли он выполнять функции точки доступа, служить транзитным устройством или сочетать обе роли. Далее индивидуальные узлы определяют своих соседей, используя протокол типа «запрос/ответ». После окончания процедуры обнаружения узлы замеряют характеристики коммуникационных каналов: мощность принимаемого сигнала, пропускную способность, задержку и частоту ошибок. Узлы обмениваются этими значениями, а затем на их основе каждый узел выбирает наилучший маршрут коммуникаций со своими соседями.
Процессы обнаружения и выбора наиболее благоприятного маршрута выполняются в фоновом режиме, так что каждый узел располагает актуальным списком соседей. В случае недоступности по тем или иным причинам какого-либо узла соседние могут быстро реконфигурировать свои таблицы и вычислить новый оптимальный маршрут. Способность самоконфигурации и самовосстановления обеспечивает ячеистым сетям высокую надежность. Беспроводные ячеистые сети могут состоять из сотен и даже тысяч узлов, что позволяет легко расширять их и обеспечивать необходимую избыточность. Хорошая иллюстрация данного механизма — электронная почта, ее сообщения разбиваются на пакеты, передаваемые через Интернет по разным маршрутам. Затем пакеты снова собираются в единое сообщение, которое и приходит в почтовый ящик получателя. Таким образом, использование множественных маршрутов доставки данных повышает эффективность пропускной способности сети.
Физические свойства беспроводных коммуникационных каналов таковы, что на более коротких расстояниях пропускная способность сети выше. Причиной этого могут быть помехи, нелинейное ослабевание сигнала и другие, влияющие на потерю данных, факторы, действие которых накапливается по мере увеличения расстояния, что является главным недостатком беспроводных технологий. И потому одним из способов повышения пропускной способности сети становится передача данных через несколько узлов, разделенных небольшими расстояниями. Такой механизм и реализуется в сетях ячеистой топологии. Благодаря тому, что для передачи данных на более короткие расстояния требуется меньшая мощность, многоузловая сеть может обеспечить более высокую общую пропускную способность, одновременно удовлетворяя всем законодательным требованиям к устройствам радиосвязи, ограничивающим максимальную мощность передатчиков.
Узлы остаются вполне автономными устройствами, способными самостоятельно управлять своим функционированием, и в то же время являются компонентом общей сети, допускающим управление из центральной точки. Используя SNMP, системный администратор может выполнять мониторинг и конфигурировать отдельные элементы, узлы, домены или всю сеть, а «сложный» протокол обнаружения лишь упрощает эту задачу посредством поиска и локализации отдельных узлов для их отображения на дисплее управления.
Следует учесть, что пространственное разделение — это еще одно преимущество сетей ячеистой топологии по сравнению с одноузловыми сетями. Как уже было отмечено, в одноузловой сети все устройства совместно используют одну точку доступа. Если несколько устройств пытаются одновременно использовать сеть, могут возникать виртуальные «заторы», замедляющие ее работу. В противоположность этому, в сетях ячеистой топологии множество устройств могут подключаться одновременно через разные узлы, при этом производительность сети не обязательно ухудшается. Более короткие расстояния передачи данных в сетях ячеистой топологии позволяют уменьшить влияние помех и осуществить одновременную передачу пространственно разделенных потоков информации.